ИНС в системах аудита и сетевой инфраструктуры

В задачах обеспечения сетевой информационной безопасности находят широкое применение методы сбора информации об удаленных сетевых узлах. В частности, одной из важнейших задач, ориентированных на получение сведений об удаленном сетевом узле, является задача идентификации версии операционной системы (ОС) узла, реализуемая алгоритмами анализа характеристик функционирования стека TCP/IP целевой системы.[1]

Автор статьи проводит исследование различных алгоритмов идентификации ОС, дает оценку наиболее известным приложениями, решающими эту задачу. В ходе работы над данной проблемой была разработана модель определения ОС удаленного хоста с использованием искусственных нейронных сетей. На основе модели был разработан алгоритм и программы (в частности OS Detection), реализующие его. Совокупность программ, одна из которых имитирует персептрон с одним скрытым слоем, может помочь при решении проблемы безопасности сети за счет достаточно точного определения ОС хоста.

Отличительной особенностью работы следует считать использование материалов различных исследований и систематизация большого объема имеющейся информации. Также проведена большая работа по изучению методов определения ОС удаленного хоста и разработке модели собственного метода, а также по созданию алгоритма идентификации ОС и программы для его реализации. В статье также необходимо упомянуть о получении в результате создания приложения OS Detection возможностей применения одноклассовой классификации, реализуемой на базе искусственных нейронных сетей, в качестве средства получения вероятностных оценок соответствия версии ОС удаленного сетевого узла той или иной известной ОС в рамках ранее предложенного авторами метода ИОС, основанного на совместном анализе временных и функциональных характеристик функционирования стека TCP/IP анализируемого узла.

В ходе исследования получены следующие результаты:

• 1.    Установлена применимость ИНС для задач анализа и классификации сигнатур стеков TCP/IP различных версий. Возможность разделения сигнатур стеков TCP/IP операционных систем различных версий на два класса с использованием одноклассового классификатора на базе ИНС свидетельствует о возможности организации на базе ИНС многоклассового классификатора, организованного из набора одноклассовых классификаторов, способного найти применение в з адачах

• 2.    Применение знаний, полученных при изучении различных источников информации по проблеме снятия отпечатков ОС и нейронным сетям, нашло отражение в модели, схема работы которой состоит в последовательной и взаимосвязанной работе каждого из компонентов модели (Сети, Активного элемента, Преобразователя, Нормировщика, Искусственной Нейронной Сети и Детектора). Результатов работы модели согласно схеме станет Тип и версия ОС удаленного хоста Сети.

• 3.    Результатами реализации схемы работы модели стали: разработка приложения OSDetection, использующего уникальный набор методов определения ОС удаленного хоста, а также реализация нейронной сети (персептрона с одним скрытым слоем) посредством языка R, которая прошла неоднократное успешное обучение с последующим тестированием на различных хостах. Таким образом можно говорить об эффективности разработанной схемы работы модели и самой модели.

идентификации версии ОС удаленного сетевого узла и, как следствие, в системах сетевого мониторинга и обеспечения сетевой информационной безопасности, использующих соответствующие методы и алгоритмы.